2025年信息系统安全专家社会工程学防护综合能力测试（进阶篇）专题试卷及解析.pdfVIP

2025年信息系统安全专家社会工程学防护综合能力测试（进阶篇）专题试卷及解析1

2025年信息系统安全专家社会工程学防护综合能力测试

（进阶篇）专题试卷及解析

2025年信息系统安全专家社会工程学防护综合能力测试（进阶篇）专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在钓鱼邮件攻击中，攻击者通过伪造公司CEO的邮箱，向财务部门发送紧急转

账指令。这种利用权威身份进行欺骗的社会工程学攻击技术被称为？

A、诱饵攻击

B、权威欺骗

C、交换条件

D、恐吓策略

【答案】B

【解析】正确答案是B。权威欺骗（Authority）是社会工程学六大原则之一，攻击

者利用人们对权威的服从心理，伪造高管身份实施攻击。A选项诱饵攻击是通过利益诱

惑，C选项交换条件是互惠原则，D选项恐吓策略属于紧急性原则。知识点：社会工程

学心理学原理。易错点：容易将权威欺骗与紧急性混淆，但本题核心是身份伪造而非时

间压力。

2、某安全团队收到自称IT部门的电话，要求提供远程维护权限，但对方无法回答

预设的安全问题。这属于哪种社会工程学防护措施？

A、零信任架构

B、多因素认证

C、挑战响应机制

D、行为分析系统

【答案】C

【解析】正确答案是C。挑战响应机制通过预设问题验证身份，是经典的社会工程

学防护手段。A选项零信任是整体架构，B选项多因素认证侧重技术验证，D选项行为

分析属于事后检测。知识点：社会工程学主动防御技术。易错点：多因素认证虽然有效，

但本题场景特指交互式验证过程。

3、攻击者在公司茶水间故意放置带有恶意软件的U盘，并贴上”2024年薪资调整

方案”标签。这种攻击属于？

A、物理渗透

B、尾随攻击

C、诱饵攻击

D、侧信道攻击

2025年信息系统安全专家社会工程学防护综合能力测试（进阶篇）专题试卷及解析2

【答案】C

【解析】正确答案是C。诱饵攻击（Baiting）利用人的好奇心或贪婪心理，通过物

理介质传播恶意软件。A选项物理渗透更广泛，B选项尾随关注进入权限，D选项侧信

道涉及信息泄露。知识点：社会工程学物理攻击向量。易错点：容易与物理渗透混淆，

但诱饵攻击的核心是心理诱导。

4、在防范社会工程学攻击时，要求员工对异常请求必须通过第二渠道验证。这种

控制措施属于？

A、预防性控制

B、检测性控制

C、纠正性控制

D、补偿性控制

【答案】A

【解析】正确答案是A。预防性控制旨在阻止攻击发生，第二渠道验证是典型手段。

B选项检测性控制关注事后发现，C选项纠正性控制处理已发生事件，D选项补偿性控

制是替代方案。知识点：安全控制措施分类。易错点：容易将验证流程误认为检测控制。

5、某攻击者通过分析目标员工的社交媒体，发现其喜欢某乐队，然后伪装成粉丝

会成员发送钓鱼链接。这种信息收集技术称为？

A、OSINT

B、dumpsterdiving

C、shouldersurfing

D、pretexting

【答案】A

【解析】正确答案是A。OSINT（开源情报）指从公开渠道收集信息，社交媒体是

主要来源。B选项翻垃圾是物理手段，C选项肩窥是视觉偷窥，D选项借口欺骗需要主

动交互。知识点：社会工程学信息收集技术。易错点：容易将OSINT与借口欺骗混淆，

前者是被动收集。

6、企业开展社会工程学防护培训时，最有效的培训方式是？

A、在线视频课程

B、钓鱼邮件模拟演练

C、安全意识手册发放

D、年度安全大会

【答案】B

【解析】正确答案是B。模拟演练能提供真实场景体验，是NIST推荐的最佳实践。

A选项缺乏互动，C选项被动接收效果差，D选项频率不足。知识点：安全意识培训有

效性。易错点：容易忽视实践训练的重要性。

2025年信息系统安全专家社会工程学防护综合能力测试（进阶篇）专题试卷及解析3

7、攻击者冒充IT支持人员，声称需要紧急重置密码，要求员工提供当前密码。这

种攻击利用了哪种心理触发点？

A、稀缺性

B、社会认同

C、紧急性

D、喜好